Tutti gli articoli del nostro blog

Cookie wall | Linee guida dell’EDPB sui cookie wall e il consenso valido

Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influiscono sul modo in cui tu, come titolare di un sito web, devi ottenere e conservare il consenso ai cookie dei visitatori provenienti dall’UE.

Aggiornato in data 27 aprile 2021.

Il cookie wall è una tecnica utilizzata dai siti web per negare l’accesso agli utenti che non acconsentano a tutti i cookie e tracker presenti su un determinato sito.

Si tratta di una sorta di barriera che mette l’utente in una situazione di “prendere o lasciare”, in cui questi deve scegliere di accettare i cookie di marketing e simili tecnologie di tracciamento, oppure vedersi precluso l’accesso al sito web e ai relativi servizi.

A partire da maggio 2020, tuttavia, le linee guida del Comitato europeo per la protezione dei dati (EDPB) sul consenso valido escludono i cookie wall dalle modalità valide per ottenere il consenso dell’utente al trattamento dei dati personali e all’uso dei cookie.

In questo blogpost ci occupiamo di tutto ciò che riguarda i cookie wall:

  1. Cos’è un cookie wall?
  2. Linee guida EDPB: i cookie wall sono legali?
  3. Come funzionano i cookie wall?
  4. Qual è un modo alternativo e valido per ottenere il consenso dell’utente?

I cookie wall sono dei veri e propri muri, delle pareti che circondano i siti internet, che gli utenti possono attraversare solo accettando i cookie e i tracker del dominio, la maggior parte dei quali elaborerà i loro dati personali.

Come detto, i cookie wall delineano uno scenario del tipo “prendere o lasciare”, predisposto dai siti web in modo tale da assicurarsi che tutti i cookie e i tracker siano attivati, raccogliendo così quanti più dati possibili, anche contro la volontà degli utenti.

Alcuni siti web, magari, utilizzano i cookie wall nel timore che il consenso specifico comprometta il loro funzionamento, nel caso in cui agli utenti sia concessa la possibilità di accettare solo una parte dei cookie. Più avanti sfateremo anche questo mito!

Di fatto, il cookie wall è una particolare variante del cookie banner con cui gli utenti interagiscono quotidianamente su Internet. Solo che un cookie wall non lascia all’utente alcuna reale possibilità di selezionare o deselezionare determinate categorie di cookie, come i cookie di marketing che in genere ospitano miriadi di tracker finalizzati a tracciare i dati privati per conto di aziende ad tech. Ciò significa che il cookie banner, che dovrebbe essere una soluzione interattiva che permette all’utente di esprimere un consenso specifico, diventa invece un cookie wall – e l’unico modo per liberarsene è cliccare su OK.

Cookie banner non conforme
Il cookie banner, in questo caso di Cookiebot, quando viene implementato in modo tale da forzare il consenso di massa degli utenti, è noto anche come “cookie wall”. Cookiebot può essere implementato in diversi modi per soddisfare le differenti leggi sulla privacy di tutto il mondo: nell’UE, tuttavia, questa implementazione non è conforme.

I cookie wall esistono su innumerevoli siti in tutto il web, anche su molti portali di notizie a cui la gente si affida per le informazioni quotidiane (e anche, ironia della sorte, per quelle riguardanti la privacy).

Immagina di voler comprare un giornale, ma di poterlo fare solo a condizione di rivelare allo sconosciuto edicolante, e a decine di altre terze parti, informazioni private estremamente dettagliate sulla tua vita, sulla tua famiglia e sui tuoi rapporti più stretti.

Oppure immagina di voler entrare in un supermercato, ma di potervi accedere per fare acquisti solo dopo esserti spogliato e aver consegnato il tuo portafoglio, compreso di tessera sanitaria.

Sembra assurdo, ma tutto ciò è paragonabile alla situazione che i cookie wall creano per l’utente finale quando, come pagamento per l’accesso a un sito, richiedono che questi rinunci al controllo dei propri dati privati, consegnandoli invece a società di tecnologia pubblicitaria, le quali creano profili spaventosamente dettagliati su ciascuno di noi e poi li vendono in tempo reale in aste di dati comportamentali.

Non sai se il tuo sito web è conforme al GDPR? Prova il test di conformità gratuito di Cookiebot.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre se il tuo sito ha dimensioni contenute.

Certo che no! I cookie wall sono una modalità illecita per ottenere il consenso delle persone situate nell’Unione Europea.

Il 4 maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha rilasciato nuove linee guida che fanno chiarezza sulla legalità dei cookie wall e su ciò che costituisce un valido consenso.

L’EDPB è un organo di controllo indipendente composto dai rappresentanti di tutte le autorità nazionali per la protezione dei dati dell’UE.

Il compito dell’EDPB è quello di garantire un’applicazione coerente del GDPR e della Direttiva ePrivacy all’interno dell’UE, emanando linee guida e indirizzando le autorità nazionali per la protezione dei dati verso un’applicazione coerente.

Le linee guida dell’EDPB del 05/2020 escludono di fatto i cookie wall dai mezzi validi che i siti web possono utilizzare per ottenere il consenso dei loro utenti al trattamento dei dati personali.

Nelle sue linee guida, l’EDPB afferma chiaramente che i cookie wall sono illegali.

I cookie wall agiscono ponendo il consenso degli utenti al trattamento dei loro dati personali come condizione per l’accesso a un servizio: l’EDPB stabilisce nelle sue linee guida che ciò non costituisce un consenso valido.

“L’accesso a servizi e funzionalità non può essere subordinato al consenso dell’utente alla memorizzazione, o all’accesso a informazioni già memorizzate, nel dispositivo dell’utente” (linee guida EDPB 05/2020, pagina 11; traduzione a cura di Cookiebot)

Le presenti linee guida dell’EDPB non ammettono l’uso dei cookie wall, in quanto – come abbiamo spiegato – i cookie wall agiscono costringendo gli utenti a installare cookie o a farsi dare accesso a cookie già memorizzati, in cambio dell’accesso ai servizi e alle funzionalità.

I cookie wall, quindi, non sono conformi al GDPR, dal momento che non soddisfano i requisiti che prevedono che il consenso debba essere espresso liberamente e sulla base di una vera e propria scelta.

Il GDPR e il consenso

Ai sensi del GDPR, un consenso valido deve essere:

  • Accordato liberamente
  • Specifico
  • Consapevole
  • Inequivocabile rispetto alla volontà dell’utente

In altri termini, un consenso valido deve essere un’indicazione libera, specifica, consapevole e inequivocabile del fatto che l’utente accetta l’uso di cookie e tracker del tuo sito web per il trattamento dei suoi dati personali. Un consenso, per essere valido, deve essere un’azione chiara e affermativa da parte dell’utente.

Il GDPR specifica chiaramente che il consenso deve essere fornito liberamente, e le linee guida dell’EDPB di maggio 2020 precisano che il consenso dell’utente ottenuto attraverso i cookie wall non è valido, proprio perché il consenso non è stato fornito liberamente, essendo condizione necessaria per la visita del sito web.

Cookie walls are non-compliant with the GDPR.
Le linee guida di maggio 2020 stabiliscono l’illegalità dei cookie wall.

La maggior parte dei siti web nel mondo ha cookie di prima e terza parte incorporati nel proprio codice sorgente. Si spazia dai cookie necessari, fondamentali per il funzionamento di un sito web, ai cookie statistici, che spesso utilizzano dati anonimizzati per fornire informazioni sul funzionamento di un sito web.

Ci sono poi i cookie di marketing che vengono impostati da aziende ad tech esclusivamente allo scopo di raccogliere dati personali per profilare gli utenti nel quadro della pubblicità comportamentale (e per altre finalità sinistre).

A cookie wall is in violation of the GDPR, says ICO, CNIL and AP.
I cookie wall agiscono rendendo il consenso una condizione per l’accesso a un sito web e ai suoi servizi, negando l’accesso agli utenti che non danno il loro pieno consenso a tutti i cookie.

I diversi tipi di cookie hanno molti scopi differenti – alcuni sono addirittura una violazione della privacy, ed è per questo che le normative europee sulla protezione dei dati – il Regolamento generale sulla protezione dei dati e la Direttiva ePrivacy – sono in vigore per controllare e disciplinare le modalità di utilizzo di questi cookie e tracker da parte di aziende, organizzazioni e siti web.

Il GDPR prescrive che i responsabili del trattamento dei dati debbano ottenere il consenso preventivo degli utenti, prima di poter procedere a qualsiasi trattamento dei loro dati. Il consenso è una delle sei basi legali per il trattamento dei dati personali nell’UE ed è la più diffusa per i siti web e le aziende in tutto il mondo.

In questo contesto, il banner di consenso ai cookie è nato come un modo per far sì che i responsabili del trattamento dei dati siano conformi al GDPR e all’ePR nel momento in cui acquisiscono i consensi degli utenti per il trattamento dei dati.

Un cookie wall è un cookie banner ibrido che procura qualcosa di simile al consenso dell’utente, ma senza lasciare all’utente la possibilità di accordare il proprio consenso ad alcuni tipi di cookie piuttosto che ad altri. Agisce bloccando l’accesso al sito, a meno che l’utente non clicchi “ok” a tutti i cookie e i tracker.

Noi di Cookiebot crediamo che il consenso debba essere specifico. Instaura un rapporto di fiducia tra i visitatori e il sito web, cosa che invece con i cookie wall viene a mancare.

Cos’è il consenso specifico?

Il consenso specifico implica che i tuoi utenti possano indirizzare separatamente il loro consenso alle diverse categorie di cookie:

  • Cookie necessari
  • Cookie di preferenza
  • Cookie statistici
  • Cookie di marketing

Quando gli utenti arrivano sul tuo sito web, la piattaforma di gestione del consenso di Cookiebot presenta loro un cookie banner interattivo che permette loro di acconsentire a certi cookie e non ad altri. Solo i cookie necessari non necessitano del consenso dell’utente per essere attivati.

Logo banner powered by Cookiebot by Usercentrics
Il cookie banner di Cookiebot permette il consenso specifico, garantendo la piena conformità del tuo sito web al GDPR.

L’impareggiabile scanner di Cookiebot rileva tutti i cookie e i tracker e li blocca automaticamente, in modo che i dati personali dei tuoi utenti non vengano trattati fino a quando essi non ne abbiano dato il consenso.

Cookiebot scansiona il tuo sito web con cadenza mensile e genera una dichiarazione completa dei cookie, garantendo la totale trasparenza tra il tuo sito web e i suoi utenti.

Attraverso la soluzione per il consenso specifico di Cookiebot, i siti web possono offrire ai loro visitatori una scelta effettiva e libera: tutto ciò grazie ai nostri banner di consenso altamente personalizzabili, che raccolgono il consenso degli utenti e gestiscono l’attivazione dei cookie sul tuo sito web in conformità al GDPR.

Il consenso specifico è il futuro

Offrendo agli utenti la possibilità di scegliere autonomamente i cookie e i tracker di cui intendono permettere l’installazione sui propri dispositivi, i siti internet rispettano il requisito del GDPR relativo alla base giuridica per il trattamento dei dati personali.

Ma non è tutto: rispettano anche la privacy e l’autonomia degli individui che stanno dall’altra parte dello schermo – quelli che, al di là delle definizioni tecniche di “soggetti” o “interessati” – sono persone in carne e ossa, le cui vite intime e riservate rischiano di essere gravemente violate dalla raccolta dei dati da parte dei tracker di terzi.

Sul rispetto della dignità della privacy e il sincero riguardo per l’autonomia delle altre persone è difficile legiferare: più che legge, è… cultura.

Cookiebot si impegna ogni giorno per aiutare i siti web a diventare conformi alle leggi sulla protezione dei dati di tutto il mondo, ma il nostro lavoro quotidiano è mosso anche dalla volontà di creare una cultura della privacy e dell’autonomia sulla rete.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito non è troppo grande.

Per un futuro di libertà e riservatezza!

Prima che l’EDPB adottasse le linee guida sui cookie wall nel maggio 2020, le autorità nazionali per la protezione dei dati di alcuni paesi dell’UE avevano già iniziato a pronunciarsi sulla legittimità dei cookie wall ai sensi del GDPR.

Ecco una panoramica delle decisioni di queste autorità nazionali, anteriori alle linee guida dell’EDPB del 05/2020.

Nella primavera del 2019, l’autorità olandese AP ha stabilito che i cookie wall violano il GDPR, precisamente perché i visitatori di un sito web devono poter esprimere il loro consenso liberamente, senza vedersi costretti a farlo da un cookie wall che richiede qualcosa in cambio dell’accesso al dominio.

L’autorità olandese ha riassunto la sua decisione concludendo che il cookie wall genera una situazione di “prendere o lasciare” per gli utenti, nella quale questi devono acconsentire a tutti i cookie e i tracker del sito, oppure lasciarlo senza aver potuto accedervi.

Ciò, secondo l’AP olandese, costituisce una forma di consenso non valida, in quanto gli utenti non hanno la libertà di scegliere concretamente se accettare o rifiutare le diverse categorie di cookie. I siti web non sono autorizzati a negare l’accesso agli utenti che decidono di non acconsentire ai cookie e ai tracker.

Anche l’ICO, l’autorità britannica per la protezione dei dati, nell’estate del 2019 ha aggiornato le proprie linee guida per l’utilizzo dei cookie nel rispetto del GDPR.

Combinando i principi del GDPR sul consenso con le attuazioni nazionali della direttiva ePrivacy (in Gran Bretagna i PECR), l’ICO britannica ha deciso che non è consentito preselezionare nessuna categoria di cookie, ad eccezione di quelli necessari.

L’ICO ha anche specificato che l’utilizzo dei cookie wall per impedire l’accesso a un sito fino all’ottenimento del consenso dell’utente non è una tecnica conforme al GDPR (e ai PECR).

“È improbabile che l’utilizzo di un approccio generalizzato come questo rappresenti un consenso valido. Affermazioni quali ‘… continuando a utilizzare questo sito web si accettano i cookie’ non rappresentano un consenso valido secondo lo standard più elevato del GDPR” (traduzione a cura di Cookiebot).

Nell’estate del 2019, anche l’autorità francese per la protezione dei dati CNIL ha aggiornato le proprie linee guida, esprimendo contrarietà ai cookie wall, in modo simile agli enti omologhi di Regno Unito e Paesi Bassi.

Tuttavia, la massima autorità amministrativa francese (il Conseil d’État, Consiglio di Stato) ha stabilito che la CNIL aveva abusato della sua autorità nel decidere che il blocco dell’accesso a un determinato sito web per gli utenti che non danno il loro pieno consenso ai cookie era automaticamente non conforme.

Nella sua decisione, il Consiglio di Stato ha dichiarato che la CNIL non può vietare legalmente i cookie wall. Ha tuttavia confermato tutti gli altri punti delle linee guida della CNIL che erano stati contestati.

Nelle nuove linee guida del 17 settembre 2020, la CNIL ha riformulato le sue indicazioni sui cookie wall, affermando invece che “in alcuni casi, i cookie wall possono pregiudicare la libertà di consenso“.

Il 18 marzo 2021, la CNIL ha pubblicato anche delle FAQ sulle sue linee guida sui cookie (in francese), includendo informazioni dettagliate sulla sua guida per l’uso dei cookie wall.

A questo proposito, le FAQ della CNIL chiariscono che l’implementazione dei cookie wall “deve essere valutata caso per caso”.

Leggi le linee guida della CNIL del 17 settembre 2020 (in francese).

Infine, nell’estate del 2020, l’autorità spagnola per la protezione dei dati AEPD ha aggiornato le proprie linee guida sui cookie wall.

In modo simile all’ICO britannica e all’AP olandese, l’AEPD spagnola ha decretato che non sono ammissibili i cookie wall che non offrono un’alternativa al consenso.

In altre parole, i cookie wall sono considerati non conformi dall’AEPD spagnola, a meno che non venga fornito un modo alternativo equivalente per accedere, senza che l’utente sia costretto a concedere il proprio consenso.

L’AEPD sottolinea che i cookie wall sono particolarmente problematici nei casi in cui agli utenti viene negato l’accesso a un sito web nel momento in cui cercano di avvalersi di un diritto legale, ad esempio la cancellazione da un servizio.

I siti web in Spagna che non offrono un’alternativa adeguata ed equa all’accesso, ovvero senza consenso, non sono conformi alle linee guida dell’AEPD sui cookie wall.

Le linee guida dell’AEPD specificano inoltre che la continuazione dello scorrimento sui siti web non costituisce un consenso valido: il consenso deve infatti essere un’indicazione esplicita e inequivocabile della volontà dell’utente.

Le linee guida dell’AEPD sono state pubblicate nel luglio 2020 con un periodo di tre mesi di grazia, per poi entrare in vigore il 31 ottobre 2020.

Leggi le linee guida dell’AEPD sul consenso e i cookie wall (in spagnolo).

Il 26 novembre 2020 l’autorità italiana per la protezione dei dati, ovvero il Garante Per La Protezione Dei Dati Personali ha emanato nuove linee guida sui cookie e i cookie wall.

Come la maggior parte delle altre autorità per la protezione dei dati dell’UE, anche il Garante italiano ha dichiarato illegale l’uso dei cookie wall.

Un’eccezione a questa regola è ammissibile soltanto se il sito offre in ogni caso l’accesso a contenuti e servizi equivalenti, ma ciò dovrà essere determinato dall’autorità nazionale caso per caso.

Oltre a chiarire che i cookie wall sono illegali, le linee guida del Garante giudicano inadeguato lo scrolling come consenso: per essere valido, infatti, il consenso deve essere un’azione attiva, affermativa ed esplicita da parte dell’utente.

Le linee guida italiane sui cookie specificano anche i diversi tipi di cookie e le loro proprietà, come scrivere una cookie policy conforme e cosa si presenta un banner di consenso valido.

Leggi le linee guida sui cookie del Garante della Privacy.

FAQ

Cos’è un cookie wall?

Il cookie wall è uno strumento che permette ai siti web di negare l’accesso agli utenti che non acconsentano a tutti i cookie e tracker presenti sul dominio. Quando un utente arriva su un sito web con un cookie wall, gli viene presentato un banner che indica la presenza di cookie sul sito, e che l’utente deve accettarli prima che gli venga autorizzato l’accesso.

Prova la piattaforma per la gestione del consenso di Cookiebot: è gratis per 14 giorni!

Come agisce un cookie wall?

I siti internet dispongono di molti cookie che trattano i dati personali dei loro utenti. Il GDPR europeo richiede ai siti web di ottenere il consenso dell’utente prima di poter attivare questi cookie; i cookie wall operano costringendo gli utenti ad accettare tutti i cookie per poter entrare nel sito web, o non farlo essendo però così costretti a uscire.

Per saperne di più su consenso ai cookie e GDPR, leggi qui.

I cookie wall sono legali?

No, secondo il Comitato europeo per la protezione dei dati (EDPB) e le sue linee guida sul consenso valido nell’UE, i cookie wall sono un modo illegale di ottenere il consenso, in quanto rendono il consenso una condizione per poter accedere al sito. Il consenso deve invece essere specifico ed espresso liberamente. Gli utenti devono poter scegliere anche solo alcuni cookie e non altri, quando rilasciano il loro consenso.

Scansiona gratuitamente il tuo sito web con Cookiebot.

Qual è un’alternativa ai cookie wall?

Il consenso specifico è la modalità conforme alle vigenti normative per l’ottenimento di un valido consenso da parte degli utenti. Il consenso specifico implica che gli utenti abbiano la possibilità di effettuare scelte diverse per le differenti categorie di cookie, nonché l’opportunità di rifiutare tutti i cookie senza vedersi negato l’accesso a un sito web e ai suoi servizi. Per consenso specifico si intende una scelta libera, chiara, preventiva e affermativa sul consenso per gli utenti del sito web, in contrapposizione alla scelta forzata imposta dai cookie wall.

Fai il test e scopri gratuitamente se il tuo sito web è conforme al GDPR.

Risorse

Cos’è il GDPR?

Comitato europeo per la protezione dei dati

La posizione dell’autorità olandese per la protezione dei dati sui cookie wall (in olandese)

La guida della CNIL sull’uso dei cookie in Francia (in inglese o francese)

Il reclamo formale del Dr. Johnny Ryan contro IAB Europe alla Irish Data Commission (in inglese)

    Non perderti nessuna novità

    Unisciti alla nostra community di sostenitori della privacy dei dati in continua crescita. Iscriviti alla newsletter di Cookiebot™ e ricevi tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

    Cliccando su "Iscriviti" confermo di volermi iscrivere alla newsletter di Cookiebot™. Posso cancellare la mia iscrizione alla newsletter di Cookiebot™ e revocare il consenso all'utilizzo dei miei dati cliccando sul link di disiscrizione oppure scrivendo a [email protected]. Informativa sulla privacy.